OpODab.com, hanya sekedar pengetahuan tentang cara kerja ransomeware WannaCry atau Wann Cryptor yang sedang ramai dibicarakan. berikut penjelasan singkat cara kerja wannacry bekerja : File awal "mssecsvc.exe" turun dan menjalankan "tasksche.exe", exe ini menguji domain switch kill. Satu lengkap, layanan mssecsvc2.0 dibuat, ini adalah metode persistance untuk malware. Layanan ini menjalankan "mssecsvc.exe" dengan titik masuk berbeda dari eksekusi awal. Eksekusi kedua ini mengeksekusi 2 thread. Thread pertama memeriksa alamat IP dari mesin yang terinfeksi dan mencoba untuk terhubung ke TCP445 (SMB) dari setiap host / alamat IP di subnet dan thread kedua yang sama menghasilkan alamat IP acak di Internet untuk melakukan tindakan yang sama. Saat malware berhasil terhubung ke mesin, sebuah koneksi dimulai dan data ditransfer. Malware ini memanfaatkan kerentanan SMB yang ditangani oleh Microsoft dalam buletin MS17-010 (ETERNALBLUE) untuk menanamkan backdoor DOUBLEPULSAR. Backdoor digunakan untuk mengeksekusi WANNACRY pada sistem yang baru dikompromikan.
File tasksche.exe memeriksa disk drive, termasuk saham jaringan dan perangkat penyimpanan yang dapat dilepas yang dipetakan ke sebuah surat, seperti 'C: /', 'D: /' dll. Perangkat lunak jahat kemudian memeriksa file dengan ekstensi file seperti yang tercantum di Lampiran dan mengenkripsi ini menggunakan enkripsi RSA 2048-bit. Sementara file sedang dienkripsi, malware tersebut membuat direktori file baru 'Tor /' yang menyebabkannya menjadi tor.exe dan sembilan file dll yang digunakan oleh tor.exe. Selain itu, ia menjatuhkan dua file lebih lanjut: taskdl.exe & taskse.exe. Yang pertama menghapus file sementara saat yang terakhir meluncurkan @ wanadecryptor @ .exe untuk menampilkan catatan tebusan di desktop kepada pengguna akhir. @ Wanadecryptor @ .exe tidak masuk dan dengan sendirinya merupakan uang tebusan, hanya catatan tebusan. Enkripsi dilakukan di background oleh tasksche.exe.
File tor.exe dijalankan oleh @ wanadecryptor @ .exe. Proses yang baru dijalankan ini memulai koneksi jaringan ke node Tor. Hal ini memungkinkan WannaCry untuk mencoba mempertahankan anonimitas dengan proxy lalu lintas mereka melalui jaringan Tor.
Khas varian ransomware lainnya, malware juga menghapus salinan bayangan di mesin korban agar pemulihannya lebih sulit. Ini mencapai ini dengan menggunakan WMIC.exe, vssadmin.exe dan cmd.exe.
WannaCry bekerja menggunakan berbagai metode untuk mencoba untuk membantu pelaksanaannya dengan memanfaatkan kedua attrib.exe untuk memodifikasi flag + h (hide) dan juga icacls.exe untuk memungkinkan hak akses penuh untuk semua pengguna, "icacls. / Grant Everyone: F / T / C / Q "
Malware telah dirancang sebagai layanan modular. Tampaknya bagi kita bahwa file eksekusi yang terkait dengan uang tebusan telah ditulis oleh individu yang berbeda dari siapapun yang mengembangkan modul layanan. Berpotensi, ini berarti bahwa struktur malware ini dapat digunakan untuk mengirimkan dan menjalankan muatan berbahaya yang berbeda.
Setelah enkripsi selesai, malware menampilkan catatan ransomware berikut. Salah satu aspek menarik varian ransomware ini adalah bahwa layar tebusan sebenarnya adalah file executable dan bukan gambar, HTA, atau file teks.
Itulah sedikit informasi mengenai cara kerja wanncry yang opodab kutip dari laman TalosIntelligence. Semoga informasi ini bermanfaat untuk anda.
Ciao,
OpODab,